本文属于机器翻译版本。若本译文内容与英语原文存在差异，则一律以英文原文为准。

# 文档级访问控制
<a name="google-drive-kb-acl"></a>

管理员管理的 Google 云端硬盘知识库包括内置的文档级访问控制。Amazon Quick 在每次抓取时都会同步来自 Google 云端硬盘的访问控制列表 (ACLs)，并在查询时验证每个用户的权限，因此用户只能看到他们有权访问的文档中的答案。

## 工作原理
<a name="google-drive-kb-acl-how-it-works"></a>

当用户向使用管理员管理的 Google 云端硬盘知识库的 Amazon Quick 代理提交查询时，系统会分两个阶段实施访问控制：

1. **检索前筛选** — Amazon Quick 对向量索引执行语义搜索，以找到最相关的文档段落。系统会应用已存储在索引中的访问控制列表。这将生成一套初步的候选人文件。这个阶段是必要的，因为对索引中的每个文档进行实时 API 调用在规模上会过于昂贵。

1. **实时验证** — 系统通过调用 Google 云端硬盘 APIs实时验证候选人文档。它使用管理员提供的服务帐号凭据，通过模拟生成用户特定的访问令牌。Google 云端硬盘保留与每个文档关联的访问控制列表的真实来源。系统会从结果集中删除用户无权访问的所有文档。

系统仅将经过验证和授权的文档段落作为上下文传递给模型。该模型使用这些知识来生成响应。这种分为两个阶段的方法提供了文档级别的访问控制保障，并保持了大规模的性能。

## 启用 ACL 管理
<a name="google-drive-kb-acl-enable"></a>

系统会自动为所有管理员管理的知识库启用文档级访问控制。无需其他配置。

有关 ACL 最佳实践的更多信息，请参阅[ACLs 在知识库中进行管理的最佳实践](acl-best-practices-kb.md)。